[FRnOG] Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[Jérôme Nicolle]

Le 2 septembre 2009 11:55, Jerome Athias a écrit :
> Dominique Rousseau a écrit :
>> Le Wed, Sep 02, 2009 at 11:07:40AM +0200, Jerome Athias 
>> [jerome.ath...@ja-psi.fr] a écrit:
>> En 3 mots : Retour sur investissement.
>
> Biensur, le fameux ROI.
> Argument plus que recevable.
>
> J'introduirais simplement "différentiation" et "avantage concurrentiel"
> (voir respect du client) que les gens comprendrait peut-être mieux que
> "valeur ajoutée"

FOUTAISES !

/me est déjà dehors

Blague à part, SSL ou pas, le SMTP est réellement problématique, et
c'est au niveau de ce protocole qu'il faudrait se poser des
questions...

-- 
Jérôme Nicolle
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[Jerome Athias]

Dominique Rousseau a écrit :
> Le Wed, Sep 02, 2009 at 11:07:40AM +0200, Jerome Athias 
> [jerome.ath...@ja-psi.fr] a écrit:
>> Comme précisé, cette discution ne s'adresse pas que à Free.
>>
>> arkiel a écrit :
>>> Dominique Rousseau a écrit :
 Oserais-je un, si banal, « parceque ça couterait des sous » ?
>> Bullshit
>> Combien ça coute la pub TV ou l'ouverture de points de vente?
> 
> En 3 mots : Retour sur investissement.

Biensur, le fameux ROI.
Argument plus que recevable.

J'introduirais simplement "différentiation" et "avantage concurrentiel"
(voir respect du client) que les gens comprendrait peut-être mieux que
"valeur ajoutée"

> 
> Mais je t'accorde que c'est totalement des suppositions, ce que
> j'exprime, et aucunement des infos obtenues auprès de gens de Free.
> 
> 
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[Fabien Germain]

Bonjour,

2009/9/2 Jerome Athias 

>  >> une solution qui tienne la charge », et de « faudrait plus de serveurs
> ».
> >> Probablement sous la forme de « faudrait du temps pour mettre en place
> Ca me ferait doucement rire.
> En gros ça serait avouer que les admins/techniciens/architectes du FAI
> ne sont pas bons. (et franchement ce n'est pas mon avis sur ceux-ci)
>

Tenir plusieurs dizaines de milliers de connexions SMTP/IMAP/POP3
simultanées c'est une chose, mais tenir plusieurs dizaines de milliers de
connexions SSL, ce n'est plus vraiment la même charge sur les serveurs, et
donc la même infra qu'il faut derrière. Si on pouvait arrêter là le troll
puéril...

Fabien
-- 

Ogden Nash   -
"The trouble with a kitten is that when it grows up, it's always a cat."

Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[Jerome Athias]

Comme précisé, cette discution ne s'adresse pas que à Free.

arkiel a écrit :
> Dominique Rousseau a écrit :
>> Oserais-je un, si banal, « parceque ça couterait des sous » ?
Bullshit
Combien ça coute la pub TV ou l'ouverture de points de vente?

>>
>> Probablement sous la forme de « faudrait du temps pour mettre en place
>> une solution qui tienne la charge », et de « faudrait plus de serveurs ».
Ca me ferait doucement rire.
En gros ça serait avouer que les admins/techniciens/architectes du FAI
ne sont pas bons. (et franchement ce n'est pas mon avis sur ceux-ci)

>>
>>   
> Ce n'est pas une réponse surprenante, et je m'y attendais évidemment.
> 
> Maintenant, il faut prendre en compte que, particulièrement depuis
> l'arrivée massive des netbooks, de plus en plus de gens vont profiter
> des hotspots pour aller vérifier leurs mails, entre autres choses.
> 
> Cela pose des problèmes de sécurité. Bien sûr, ce n'est pas le rôle de
> Free (ou tout autre opérateur) de sécuriser le hotspot du café d'à
> coté.
On est d'accord là dessus

  Sauf à proposer un VPN,  les opérateurs ne peuvent évidemment pas
> garantir la sécurité des données des utilisateurs lorsqu'elles
> transitent par un autre réseau. Cependant, pour certains services comme
> les mails, la politique qui consiste à ne rien crypter est-elle encore
> valable ?
Par un autre réseau non, et de toute manière je ne vois pas trop ce qui
passe exclusivement par un réseau de UN FAI.
Par contre, (=> je ne suis pas juriste <=) je pense, que en tant
qu'abonné à des services, le fournisseur doit garantir la sécurité de
mes données dans le cadre de ses services.

> 
> Est-ce que ce ne serait pas un bon moment (le fait qu'internet devienne
> mobile) pour tenter d'éduquer les utilisateurs, et leur proposer des
> solutions ?
Le bon moment?
Je pense qu'il est (était) déjà très loin en arrière le bon moment...
Menfin comme on dit, "mieux vaut tard que jamais"

> 
> Maintenant, si les opérateurs ne veulent pas prendre en compte cet
> aspect notamment pour des raisons de coût, c'est compréhensible, mais je
> me demandais si certains avaient commencé à y réfléchir.
Ben, j'attends juste que l'état les y obligent.


/JA

"Oh yes! Please flame me hard!"

> 
> 
> fr...@webmail.fr a écrit :
>> Donc si je comprend bien, on te dis d'une manière cachée :
>> "c'est pas le bon endroit pour ta question" et toi tu persistes et
>> signe ?
>>
>> Les réponses sont peut être justement ce qu'elles sont, car les
>> centaines de personnes inscrites à cette liste ne sont pas des gens
>> d'Illiad.
>> C'est pas "qu'on" est pas dans le sujet, c'est plutôt l'inverse : tu
>> es au mauvais endroit.
>>
>> Oui je sais, c'est étonnant, "Internet" ce n'est pas que 3 opérateurs
>> qui règlent des soucis d'accès à un mail afin de se dire "ouha trop
>> cool, mes paquets sont cryptés !" ...
> Je penche plutôt pour la troisième solution : j'ai extrêmement mal posé
> ma question. C'est pour ça que j'ai tenté de la recadrer.
> 
> J'ai maladroitement limité ma question à Free, c'était une erreur de ma
> part. Je souhaitais une réponse/discussion plus large.
> 
> J'ai aussi limité la question aux mails, parce que je ne voyais pas
> quels autres services pourraient bénéficier de mesures de sécurité qui
> n'en aient pas déjà. C'est aussi car nombre de gens utilisent une seule
> adresse mail pour beaucoup de choses et que gagner l'accès à une boite
> mail peut donner accès à nombre d'autres choses potentiellement plus
> sensibles.
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[Sebastien WILLEMIJNS]

On Wed, 02 Sep 2009 08:35 +0200, "Raphaël Jacquot" 
wrote:
> On Wed, 2009-09-02 at 07:59 +0200, Spyou wrote:

> > Oh je suis sur que Free sera enchanté de proposé du SMTP SSL contre 30 
> > euro de plus par mois par abonnés :)
> > 
> > Et pour 15 euro de plus, une vrai ligne de téléphone qui marche quand on 
> > a en a besoin :)

> ils proposent déja "changez votre numéro de telephone pour 10€" ...

et la hotline au tarif local... du 8 rue de la Ville l'Evêque à Paris ;)
oh ! que de méchancetés en cette rentrée...
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[Raphaël Jacquot]

On Wed, 2009-09-02 at 07:59 +0200, Spyou wrote:
> Christophe Meessen a écrit :
> > Les machines via (dédibox) ne coutent pas cher et ont des performances 
> > époustouflantes pour les opérations de chiffrement grâce au padlock.
> > Mais cela ne me semble envisageable que comme proxy/gateway bien 
> > évidemment.
> 
> Oh je suis sur que Free sera enchanté de proposé du SMTP SSL contre 30 
> euro de plus par mois par abonnés :)
> 
> Et pour 15 euro de plus, une vrai ligne de téléphone qui marche quand on 
> a en a besoin :)
> 
> etc ...

ils proposent déja "changez votre numéro de telephone pour 10€" ...

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[Spyou]

Christophe Meessen a écrit :
Les machines via (dédibox) ne coutent pas cher et ont des performances 
époustouflantes pour les opérations de chiffrement grâce au padlock.
Mais cela ne me semble envisageable que comme proxy/gateway bien 
évidemment.


Oh je suis sur que Free sera enchanté de proposé du SMTP SSL contre 30 
euro de plus par mois par abonnés :)


Et pour 15 euro de plus, une vrai ligne de téléphone qui marche quand on 
a en a besoin :)


etc ...


(et non, envoyer ses mails via une dedibox, c'est pas une bonne idée, 
sauf si on veut qu'ils soient taggués comme spam a l'arrivée, of course ..)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[Christophe Meessen]

fr...@webmail.fr a écrit :

Donc si je comprend bien, on te dis d'une manière cachée :
"c'est pas le bon endroit pour ta question" et toi tu persistes et 
signe ?


Les réponses sont peut être justement ce qu'elles sont, car les 
centaines de personnes inscrites à cette liste ne sont pas des gens 
d'Illiad.
C'est pas "qu'on" est pas dans le sujet, c'est plutôt l'inverse : tu 
es au mauvais endroit.


Oui je sais, c'est étonnant, "Internet" ce n'est pas que 3 opérateurs 
qui règlent des soucis d'accès à un mail afin de se dire "ouha trop 
cool, mes paquets sont cryptés !" ...

En effet.

Si on s'en réfère à la charte de FRnOG :

   FRnOG à pour but d'améliorer la qualité d'Internet et autres 
services IP en France.
   FRnOG est une plate-forme d'échange d'informations entre 
professionnels du réseau et de la sécurité.


la question aurait dû/pu être abordée de façon plus générale et terme de 
qualité de service et de sécurité.


Du genre, l'utilisation de telnet et ftp sur internet ne devrait-il pas 
être découragé au profit de ssh et sftp ou scp ? D'autant plus que le 
service ou les informations auxquels on a accès sont "sensibles".


Le problème des fonctionnalités de sécurités est que le bilan financier 
est négatif. Cela a un cout qui croit exponentiellement avec 
l'augmentation de sécurité, sans rien rapporter. C'est comme une 
assurance. Le bénéfice en terme d'image (marketing) est très limité car 
seul les personnes compétentes sont en mesure d'en apprécier la valeur.


On peut faire le parallèle avec la sécurité des voitures. Le commun des 
mortels ne peut pas évaluer la sécurité des voitures, et ces mesures de 
sécurité ont un cout important. Donc ces conditions les constructeurs 
s'en tiennent aux cout minimum ou au mieux à leur conscience 
professionnelle.
La mise en place de Euro NCAP [http://www.crash-test.org/] qui décerne 
des étoiles en fonction du respect de certains critères de sécurité pour 
les voitures a changé la donne. Vu d'un mauvais oeil au départ par les 
constructeurs, il s'est rapidement avéré que c'est gagnant pour tous. 
Les utilisateurs peuvent facilement évaluer le niveau de sécurité en se 
référent à une structure indépendante, objective et appliquant des 
procédures rigoureuses. La plus value devient visible et a un impact 
direct sur la valeur du produit et son prix également.


Pour les voitures, les accidents étant plus dramatiques et 
spectaculaires, l'intérêt et le bénéfice d'une telle structure et du 
label de sécurité s'est rapidement fait sentir. Pour internet, les 
victimes ne s'en rendent, pour la plupart, même pas compte (espionnage 
industriel). Mais je suis sûr que le nombre "d'accidents" sur internet 
dépasse largement ceux de la route.


Il me semble aussi nécessaire de prendre en compte un risque qui 
n'existe pas avec les voitures, c'est celui vécu par l'Estonie 
[http://en.wikipedia.org/wiki/2007_cyberattacks_on_Estonia]. Si la 
probabilité d'occurrence de tels évènements en France reste faible, il 
n'es reste pas moins que la gravité des conséquences augmente avec 
l'évolution des services.


Il n'existe pas actuellement d'incitation et d'intérêt à renforcer la 
sécurité de services alors que c'est dans l'intérêt de tous. La mise en 
place d'une structure telle que Euro NCAP pourrait changer la donne.

Cela sera beaucoup plus efficace que des lois et des normes.

--
Bien cordialement,

Ch. Meessen



smime.p7s
Description: S/MIME Cryptographic Signature

Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[Christophe Meessen]

Dominique Rousseau a écrit :

Le Tue, Sep 01, 2009 at 05:32:01PM +0200, arkiel [ark...@free.fr] a écrit:
  
La question reste donc : pourquoi free ne propose pas de solutions 
minimales de sécurité à ses abonnés ? Ca ne me semble pas si terrible 
que ça à mettre en place, et encourager les utilisateurs à un minimum de 
prudence me semblerait normal.



Oserais-je un, si banal, « parceque ça couterait des sous » ?

Probablement sous la forme de « faudrait du temps pour mettre en place
une solution qui tienne la charge », et de « faudrait plus de serveurs ».
  
Les machines via (dédibox) ne coutent pas cher et ont des performances 
époustouflantes pour les opérations de chiffrement grâce au padlock.
Mais cela ne me semble envisageable que comme proxy/gateway bien 
évidemment.


OpenSSL peut utiliser padlock. Sinon il y a aussi la bibliothèque 
PolarSSL [http://polarssl.org/] (anciennement XySSL de Christophe 
Devine//) .


Je souscris entièrement à la demande d'arkiel. Même problème pour 
l'accès au compte personnel de Free où des opérations pouvant engager 
financièrement le détenteur peuvent être réalisées.
Si on consulte cette page depuis la maison sur la ligne ADSL free, le 
risque est négligeable, mais si c'est depuis l'extérieur, comme le 
travail par exemple ou lorsqu'on est en déplacement, le risque n'est 
plus négligeable.



--
Bien cordialement,

Ch. Meessen



smime.p7s
Description: S/MIME Cryptographic Signature

[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] RE: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[Steven Le Roux]

2009/9/2 Raphaël Jacquot 

> On Tue, 2009-09-01 at 17:22 +0200, Steven Le Roux wrote:
>
> >
> > Et c'est pas avec les journalistes qu'on a en France qu'on
> > aura droit à une vrai information pour éviter que mme michou
> > consulte ses mails sur un wifi ouvert...
> >
> > C'est pour ça que sur le réseau Brest-sans-fil on a bloqué le 110/143
> > et laissé du 993/995.
>
> imap avec start-tls passe par 143...
>

oui mais on n'a pas les moyens de faire du layer 7 sur des wrt...

>
> >
>
>


-- 
Steven Le Roux
Jabber-ID : ste...@jabber.fr
0x39494CCB 
2FF7 226B 552E 4709 03F0  6281 72D7 A010 3949 4CCB

[FRnOG] Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[Steven Le Roux]

2009/9/1 arkiel 

> Merci pour tous vos commentaires attentionnés type "monte ton propre
> serveur à la maison", "va voir ailleurs" et autres publicités.
>
> Maintenant, est-ce qu'on pourrait arrêter de jouer ? La question
> s'adressait avant tout aux personnes en charge du réseau free dont certaines
> fréquentent cette mailing list. Il est tout à fait normal que d'autres
> personnes souhaitent participer à la discussion, et ces personnes sont les
> bienvenues, merci cependant de rester dans le sujet.
>
>
Alors merci d'arrêter de polluer la liste par des questions end-user...
Cette liste s'adresse aux opérateurs ou acteurs du net. Ce n'est PAS d'une
hotline ou un support de Free. Si tu veux partir en croisade pour le ssl sur
une plateforme mail de free, monte un pétition avec univers-freebox.com qui
saura faire remonter ton besoin... s'il est jugé pertinent par les
freenautes...


-- 
Steven Le Roux
Jabber-ID : ste...@jabber.fr
0x39494CCB 
2FF7 226B 552E 4709 03F0  6281 72D7 A010 3949 4CCB

Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] RE: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[Raphaël Jacquot]

On Tue, 2009-09-01 at 17:22 +0200, Steven Le Roux wrote:

> 
> Et c'est pas avec les journalistes qu'on a en France qu'on
> aura droit à une vrai information pour éviter que mme michou
> consulte ses mails sur un wifi ouvert...
> 
> C'est pour ça que sur le réseau Brest-sans-fil on a bloqué le 110/143
> et laissé du 993/995.

imap avec start-tls passe par 143...

> 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Free : à quand le ssl sur les serveurs mail ?

[arkiel]

Dominique Rousseau a écrit :

Oserais-je un, si banal, « parceque ça couterait des sous » ?

Probablement sous la forme de « faudrait du temps pour mettre en place
une solution qui tienne la charge », et de « faudrait plus de serveurs ».

  

Ce n'est pas une réponse surprenante, et je m'y attendais évidemment.

Maintenant, il faut prendre en compte que, particulièrement depuis 
l'arrivée massive des netbooks, de plus en plus de gens vont profiter 
des hotspots pour aller vérifier leurs mails, entre autres choses.


Cela pose des problèmes de sécurité. Bien sûr, ce n'est pas le rôle de 
Free (ou tout autre opérateur) de sécuriser le hotspot du café d'à 
coté.  Sauf à proposer un VPN,  les opérateurs ne peuvent évidemment pas 
garantir la sécurité des données des utilisateurs lorsqu'elles 
transitent par un autre réseau. Cependant, pour certains services comme 
les mails, la politique qui consiste à ne rien crypter est-elle encore 
valable ?


Est-ce que ce ne serait pas un bon moment (le fait qu'internet devienne 
mobile) pour tenter d'éduquer les utilisateurs, et leur proposer des 
solutions ?


Maintenant, si les opérateurs ne veulent pas prendre en compte cet 
aspect notamment pour des raisons de coût, c'est compréhensible, mais je 
me demandais si certains avaient commencé à y réfléchir.



fr...@webmail.fr a écrit :

Donc si je comprend bien, on te dis d'une manière cachée :
"c'est pas le bon endroit pour ta question" et toi tu persistes et 
signe ?


Les réponses sont peut être justement ce qu'elles sont, car les 
centaines de personnes inscrites à cette liste ne sont pas des gens 
d'Illiad.
C'est pas "qu'on" est pas dans le sujet, c'est plutôt l'inverse : tu 
es au mauvais endroit.


Oui je sais, c'est étonnant, "Internet" ce n'est pas que 3 opérateurs 
qui règlent des soucis d'accès à un mail afin de se dire "ouha trop 
cool, mes paquets sont cryptés !" ...
Je penche plutôt pour la troisième solution : j'ai extrêmement mal posé 
ma question. C'est pour ça que j'ai tenté de la recadrer.


J'ai maladroitement limité ma question à Free, c'était une erreur de ma 
part. Je souhaitais une réponse/discussion plus large.


J'ai aussi limité la question aux mails, parce que je ne voyais pas 
quels autres services pourraient bénéficier de mesures de sécurité qui 
n'en aient pas déjà. C'est aussi car nombre de gens utilisent une seule 
adresse mail pour beaucoup de choses et que gagner l'accès à une boite 
mail peut donner accès à nombre d'autres choses potentiellement plus 
sensibles.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[fr...@webmail.fr]

Donc si je comprend bien, on te dis d'une manière cachée :
"c'est pas le bon endroit pour ta question" et toi tu persistes et signe ?

Les réponses sont peut être justement ce qu'elles sont, car les 
centaines de personnes inscrites à cette liste ne sont pas des gens 
d'Illiad.
C'est pas "qu'on" est pas dans le sujet, c'est plutôt l'inverse : tu es 
au mauvais endroit.


Oui je sais, c'est étonnant, "Internet" ce n'est pas que 3 opérateurs 
qui règlent des soucis d'accès à un mail afin de se dire "ouha trop 
cool, mes paquets sont cryptés !" ...




arkiel a écrit :
Merci pour tous vos commentaires attentionnés type "monte ton propre 
serveur à la maison", "va voir ailleurs" et autres publicités.


Maintenant, est-ce qu'on pourrait arrêter de jouer ? La question 
s'adressait avant tout aux personnes en charge du réseau free dont 
certaines fréquentent cette mailing list. Il est tout à fait normal 
que d'autres personnes souhaitent participer à la discussion, et ces 
personnes sont les bienvenues, merci cependant de rester dans le sujet.


On peut à loisir discuter du réel impact d'un protocole particulier 
sur une attaque menée par quelqu'un de décidé, ou des éventuelles 
difficultés à mettre en place des mesures, ça reste dans le sujet, 
mais la question était sur la politique adoptée par free concernant 
les options de sécurité proposés à ses abonnés. Pas sur les 
alternatives à leur service.


A noter, la question est ouverte à d'autres opérateurs. Je ne sais pas 
comment ça se passe ailleurs à ce niveau, mais ça me semble 
intéressant à aborder. A savoir : les opérateurs mettent-ils en place 
des solutions de sécurité (même minimes) pour leur clients ? Si non, 
pourquoi ?


Je peux tout à fait imaginer que les admins free (ou autres) n'aient 
pas jugé nécessaire ou utile de proposer de telles solution pour leurs 
serveurs mail.
Par exemple, la non-éducation du public et donc l'utilisation 
quasi-nulle de ces services peut être une raison (coût/utilité, etc).
L'utilisation massive de solutions alternatives et gratuites qui 
proposent de telles solutions peut en être une autre.


Cependant, plutôt que de supposer dans le vide, je me suis dit que 
demander gentiment les raisons pourrait être intéressant. Aller voir 
ailleurs sans se poser de questions ne me semble pas très intéressant, 
intellectuellement parlant.


La question était peut-être mal formulée au début, mais j'espère que 
maintenant on pourra repartir sur une discussion un peu plus 
intéressante.



Sebastien WILLEMIJNS a écrit :

On Tue, 01 Sep 2009 16:49 +0200, "gui!llaume" 
wrote:
 

Florian Koch a écrit :
   

Si tu veut de la securite pourquoi tu fais heberger tes mails en clair
  


 

dit autrement : on n'est jamais mieux servi que par soi-même...



dit encore autrement en mode newbie ou/et radin: personne ne vous oblige
à utiliser votre service de FAI, voyez www.willemijns.com/mail-alt.htm
si vous êtes fauché, sinon essayez fastmail.fm 
---

Liste de diffusion du FRnOG
http://www.frnog.org/

  


---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Free : à quand le ssl sur les serveurs mail ?

[arkiel]

Merci pour tous vos commentaires attentionnés type "monte ton propre 
serveur à la maison", "va voir ailleurs" et autres publicités.


Maintenant, est-ce qu'on pourrait arrêter de jouer ? La question 
s'adressait avant tout aux personnes en charge du réseau free dont 
certaines fréquentent cette mailing list. Il est tout à fait normal que 
d'autres personnes souhaitent participer à la discussion, et ces 
personnes sont les bienvenues, merci cependant de rester dans le sujet.


On peut à loisir discuter du réel impact d'un protocole particulier sur 
une attaque menée par quelqu'un de décidé, ou des éventuelles 
difficultés à mettre en place des mesures, ça reste dans le sujet, mais 
la question était sur la politique adoptée par free concernant les 
options de sécurité proposés à ses abonnés. Pas sur les alternatives à 
leur service.


A noter, la question est ouverte à d'autres opérateurs. Je ne sais pas 
comment ça se passe ailleurs à ce niveau, mais ça me semble intéressant 
à aborder. A savoir : les opérateurs mettent-ils en place des solutions 
de sécurité (même minimes) pour leur clients ? Si non, pourquoi ?


Je peux tout à fait imaginer que les admins free (ou autres) n'aient pas 
jugé nécessaire ou utile de proposer de telles solution pour leurs 
serveurs mail.
Par exemple, la non-éducation du public et donc l'utilisation 
quasi-nulle de ces services peut être une raison (coût/utilité, etc).
L'utilisation massive de solutions alternatives et gratuites qui 
proposent de telles solutions peut en être une autre.


Cependant, plutôt que de supposer dans le vide, je me suis dit que 
demander gentiment les raisons pourrait être intéressant. Aller voir 
ailleurs sans se poser de questions ne me semble pas très intéressant, 
intellectuellement parlant.


La question était peut-être mal formulée au début, mais j'espère que 
maintenant on pourra repartir sur une discussion un peu plus intéressante.



Sebastien WILLEMIJNS a écrit :

On Tue, 01 Sep 2009 16:49 +0200, "gui!llaume" 
wrote:
  

Florian Koch a écrit :


Si tu veut de la securite pourquoi tu fais heberger tes mails en clair
  


  

dit autrement : on n'est jamais mieux servi que par soi-même...



dit encore autrement en mode newbie ou/et radin: personne ne vous oblige
à utiliser votre service de FAI, voyez www.willemijns.com/mail-alt.htm
si vous êtes fauché, sinon essayez fastmail.fm 
---

Liste de diffusion du FRnOG
http://www.frnog.org/

  


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[Sebastien WILLEMIJNS]

On Tue, 01 Sep 2009 16:49 +0200, "gui!llaume" 
wrote:
> Florian Koch a écrit :
> > Si tu veut de la securite pourquoi tu fais heberger tes mails en clair

> dit autrement : on n'est jamais mieux servi que par soi-même...

dit encore autrement en mode newbie ou/et radin: personne ne vous oblige
à utiliser votre service de FAI, voyez www.willemijns.com/mail-alt.htm
si vous êtes fauché, sinon essayez fastmail.fm 
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[arkiel]

Aurelien Joga a écrit :

arkiel a écrit :
Quelles sont donc les raisons derrière un tel choix ? Y a-t-il une 
chance de voir un jour un minimum de sécurité sur les serveurs mails 
de free ? Suis-je un boulet qui n'a juste pas su trouver l'information ?


Tu te sentirais vraiment plus en sécurité avec du ssl mh ? [0]
Madame michu oui, et pourtant...

Aucune mesure de sécurité n'est infaillible, certes. Maintenant il y a 
une différence entre rien et un protocole, même basique. Se pose alors 
le problème du sentiment d'être en sécurité alors qu'on ne l'est pas 
vraiment, mais ça oblige l'attaquant à avoir un minimum de connaissances 
et à faire des efforts.
Par exemple, le cryptage WEP est crackable en 5-10 minutes, mais c'est 
toujours mieux qu'un réseau ouvert. Le WPA commence à souffrir lui aussi 
mais c'est toujours mieux que le WEP.


La question c'est pas comment faire pour que personne ne soit capable 
d'accéder à mes informations, c'est comment faire pour que ce soit plus 
dur pour l'attaquant de pénétrer le système que les bénéfices qu'il 
pourrait en tirer.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[Aurelien Joga]

arkiel a écrit :
Il ne m'a jamais semblé que transmettre ses passwords en plaintext 
soit très fiable niveau sécurité. Vu le succès du wifi depuis quelques 
années, et tous les problèmes de sécurité que cela pose pour les 
utilisateurs, je trouve surprenant que les admins chez free ne se 
soient toujours pas décidés à proposer une connexion ssl. 


Tu te sentirais vraiment plus en sécurité avec du ssl mh ? [0]
Madame michu oui, et pourtant...

--
[0] Certes cet article s'appliquerait plus au webmail en ssl plutot 
qu'au POP/IMAP en SSL, mais l'essentiel est là ...  
http://www.linewbie.com/2007/11/how-to-sniff-or-hack-someones-username-and-password-even-if-it-is-over-an-ssl-encrypted-connection.html 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[arkiel]

Florian Koch a écrit :

Si tu veut de la securite pourquoi tu fais heberger tes mails en clair
chez ton operateur ?

  
Ce n'est pas le sujet. Je suis tout à fait conscient qu'il existe nombre 
de solutions gratuites sur le net, et je suis tout à fait capable 
d'aller les utiliser.


La question se veut plus générale. En effet, la plupart des gens (madame 
michu) ne réfléchissent pas trop à ces questions, et n'en ont en fait 
même pas conscience. Or, il me semble que free en tant qu'opérateur a 
une certaine responsabilité niveau sécurité. Certes ils ne peuvent pas 
obliger leurs utilisateurs à prendre un minimum de précautions avec 
leurs informations, mais de là à les décourager ?


Il faut aussi considérer que certains utilisateurs ne souhaitent pas 
changer d'adresse mail car ils ne veulent pas risquer de perdre des 
contacts, ou parce qu'ils utilisent leur mail depuis des années et ne se 
rappellent même plus où ils se sont inscris avec cette adresse. Et ce 
n'est pas parce qu'il y a des solutions que les gens les connaissent.


La question reste donc : pourquoi free ne propose pas de solutions 
minimales de sécurité à ses abonnés ? Ca ne me semble pas si terrible 
que ça à mettre en place, et encourager les utilisateurs à un minimum de 
prudence me semblerait normal.




Le 1 septembre 2009 16:49, > a écrit :

>Bonjour,
>
>Les newsgroups de free (proxad.free.services.messagerie) serait 
surement un

>bon endroit ou poser vos questions ...
>
>Une solution : ne pas utiliser la messagerie de free si elle ne 
réponds pas

>a vos attentes :)


Oops, j'avais complètement oublié les newsgroups. :x
Quand à la messagerie, même réponse, si j'ai besoin de sécurité je sais 
comment aller voir ailleurs, la question n'est pas là.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Re: [FRnOG] RE: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[Steven Le Roux]

2009/9/1 Julien Richer 

> +1 pour le fait de ne pas utiliser un service non adapté.
>
> MAIS, nombreux sont les utilisateurs à garder les mots de passe x ou y dans
> leurs mails (x/y étant les multiples services ouverts grace à un mail comme
> facebook).
> Mails qui transitent en clair que se soit par pop/imap ou webmail (même la
> console de gestion n'est pas https chez Free).
>

Si mais c'est un peu caché ;)

>
> Et c'est pas avec les journalistes qu'on a en France qu'on aura droit à une
> vrai information pour éviter que mme michou consulte ses mails sur un wifi
> ouvert...
>

C'est pour ça que sur le réseau Brest-sans-fil on a bloqué le 110/143 et
laissé du 993/995.

Hormis dire "quand j'achète il faut qu'il y ait un cadnas en bas du
> navigateurs", ils n'en savent pas plus (et faut surtout pas essayer de leur
> faire vérifier le certificat...)
>
>
> Le 1 septembre 2009 16:49,  a écrit :
>
> Bonjour,
>>
>> Les newsgroups de free (proxad.free.services.messagerie) serait surement
>> un
>> bon endroit ou poser vos questions ...
>>
>> Une solution : ne pas utiliser la messagerie de free si elle ne réponds
>> pas
>> a vos attentes :)
>>
>>
>> -Message d'origine-----
>> De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de
>> arkiel
>> Envoyé : mardi 1 septembre 2009 16:29
>> À : frnog@frnog.org
>> Objet : [FRnOG] Free : à quand le ssl sur les serveurs mail ?
>>
>> Bonjour,
>>
>> Je suis tout à fait conscient que frnog n'est pas dédié support
>> technique de l'opérateur free, cependant je ne vois aucun endroit autre
>> qu'ici où trouver des gens qui savent réellement les raisons de ce choix.
>>
>> Depuis que je suis chez Free, je n'ai jamais trouvé comment me connecter
>> sur les serveurs mails avec un minimum de sécurité. Rien sur la faq, et
>> google a l'air plutôt affirmatif sur le fait que free ne supporte pas de
>> connexion ssl sur ses serveurs mail.
>>
>> Il ne m'a jamais semblé que transmettre ses passwords en plaintext soit
>> très fiable niveau sécurité. Vu le succès du wifi depuis quelques
>> années, et tous les problèmes de sécurité que cela pose pour les
>> utilisateurs, je trouve surprenant que les admins chez free ne se soient
>> toujours pas décidés à proposer une connexion ssl.
>> En effet, que ce soit sur les hotspots publics ou sur du wep, il suffit
>> à n'importe qui de lancer wireshark/kismet/etc et d'attendre pour
>> récupérer des passwords, des mails, etc. Et ça c'est juste à la source,
>> une fois balancés sur le net, d'autres personnes peuvent s'occuper de
>> récupérer tout ça.
>>
>> Quelles sont donc les raisons derrière un tel choix ? Y a-t-il une
>> chance de voir un jour un minimum de sécurité sur les serveurs mails de
>> free ? Suis-je un boulet qui n'a juste pas su trouver l'information ?
>>
>> Oh, je précise que ce n'est pas un troll, juste une simple question, au
>> cas où.
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>>
>


-- 
Steven Le Roux
Jabber-ID : ste...@jabber.fr
0x39494CCB 
2FF7 226B 552E 4709 03F0  6281 72D7 A010 3949 4CCB

Re: [FRnOG] Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[gui!llaume]

Florian Koch a écrit :
> Si tu veut de la securite pourquoi tu fais heberger tes mails en clair
> chez ton operateur ?
>
>   

dit autrement : on n'est jamais mieux servi que par soi-même...
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] RE: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[sfoutrel]

Bonjour,

Les newsgroups de free (proxad.free.services.messagerie) serait surement un
bon endroit ou poser vos questions ...

Une solution : ne pas utiliser la messagerie de free si elle ne réponds pas
a vos attentes :)


-Message d'origine-
De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de
arkiel
Envoyé : mardi 1 septembre 2009 16:29
À : frnog@frnog.org
Objet : [FRnOG] Free : à quand le ssl sur les serveurs mail ?

Bonjour,

Je suis tout à fait conscient que frnog n'est pas dédié support 
technique de l'opérateur free, cependant je ne vois aucun endroit autre 
qu'ici où trouver des gens qui savent réellement les raisons de ce choix.

Depuis que je suis chez Free, je n'ai jamais trouvé comment me connecter 
sur les serveurs mails avec un minimum de sécurité. Rien sur la faq, et 
google a l'air plutôt affirmatif sur le fait que free ne supporte pas de 
connexion ssl sur ses serveurs mail.

Il ne m'a jamais semblé que transmettre ses passwords en plaintext soit 
très fiable niveau sécurité. Vu le succès du wifi depuis quelques 
années, et tous les problèmes de sécurité que cela pose pour les 
utilisateurs, je trouve surprenant que les admins chez free ne se soient 
toujours pas décidés à proposer une connexion ssl.
En effet, que ce soit sur les hotspots publics ou sur du wep, il suffit 
à n'importe qui de lancer wireshark/kismet/etc et d'attendre pour 
récupérer des passwords, des mails, etc. Et ça c'est juste à la source, 
une fois balancés sur le net, d'autres personnes peuvent s'occuper de 
récupérer tout ça.

Quelles sont donc les raisons derrière un tel choix ? Y a-t-il une 
chance de voir un jour un minimum de sécurité sur les serveurs mails de 
free ? Suis-je un boulet qui n'a juste pas su trouver l'information ?

Oh, je précise que ce n'est pas un troll, juste une simple question, au 
cas où.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?

[Florian Koch]

Si tu veut de la securite pourquoi tu fais heberger tes mails en clair
chez ton operateur ?

Le 01/09/09, arkiel a écrit :
> Bonjour,
>
> Je suis tout à fait conscient que frnog n'est pas dédié support
> technique de l'opérateur free, cependant je ne vois aucun endroit autre
> qu'ici où trouver des gens qui savent réellement les raisons de ce choix.
>
> Depuis que je suis chez Free, je n'ai jamais trouvé comment me connecter
> sur les serveurs mails avec un minimum de sécurité. Rien sur la faq, et
> google a l'air plutôt affirmatif sur le fait que free ne supporte pas de
> connexion ssl sur ses serveurs mail.
>
> Il ne m'a jamais semblé que transmettre ses passwords en plaintext soit
> très fiable niveau sécurité. Vu le succès du wifi depuis quelques
> années, et tous les problèmes de sécurité que cela pose pour les
> utilisateurs, je trouve surprenant que les admins chez free ne se soient
> toujours pas décidés à proposer une connexion ssl.
> En effet, que ce soit sur les hotspots publics ou sur du wep, il suffit
> à n'importe qui de lancer wireshark/kismet/etc et d'attendre pour
> récupérer des passwords, des mails, etc. Et ça c'est juste à la source,
> une fois balancés sur le net, d'autres personnes peuvent s'occuper de
> récupérer tout ça.
>
> Quelles sont donc les raisons derrière un tel choix ? Y a-t-il une
> chance de voir un jour un minimum de sécurité sur les serveurs mails de
> free ? Suis-je un boulet qui n'a juste pas su trouver l'information ?
>
> Oh, je précise que ce n'est pas un troll, juste une simple question, au
> cas où.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>


-- 
Cdt
Florian Koch
Trésorier de Montpellier Wireless
Clé GPG : http://www.11h11.fr/Florian.Koch.0x4E5BFC03.pub.asc
---
Liste de diffusion du FRnOG
http://www.frnog.org/